<strong>Autoryzacja</strong>, natomiast określa nam co możemy zrobić
w systemie (w tym przypadku, w sieci) - określa ona naszę uprawnienia.
Ostatnim czynnikiem jest zapewnienie <strong>ewidencjonowania</strong>
- tj. prowadzenia dziennika zawierającego informacje na temat
- uwierzytelnienia oraz autoryzacji w danym systemie. Wprowadzenie tego
+ tj. zbierania oraz raportowania tego co użytkownik robi w sieci czy
+ na urządzeniu.
+ Rozwiązania tego typu mogą dostarczyć informacji potrzebnych do audytu,
+ czy pomóc przy rozliczeniu. Wprowadzenie tego
typu zabezpieczeń spowoduje, że podczas podłączania do sieci
- wymagane będzie podanie loginu hasła. Rozwiązania AAA są zastzeżone
- przez Cisco, nie mniej jednak instnieje otwarty standard pozwalają
- na zrealizowanie tego typu czynności: 802.1X
-
+ wymagane będzie podanie loginu hasła.
+ </p>
+ <p>
+ Innym rodzajem kontroli dostępu do sieci może być standard IEEE 802.1X,
+ jest to oparty na portach protokół, który pozwala na uwierzytelnianie
+ oraz autoryzacje
+ użytkownika w sieci. Decydując się na tego typu rozwiązanie do
+ dyspozycji będziemy mieć dwie implementacje, takie jak otwarty
+ <strong>RADIUS</strong> oraz zastrzeżony przez Cisco
+ <strong>TACACS+</strong>. W przypadku 802.1X każdy komputer ma swoją
+ rolę:
+ </p>
+ <ul>
+ <li><strong>Klient (suplikant)</strong> - są to urządzenia z
+ zainstalowanym oprogramowaniem klienckim zgodnym z 802.1X.
+ Oprogramowanie tego typu może być stosowane zarówno dla hostów
+ przewodowych jak i bezprzewodowych.</li>
+ <li><strong>Przełącznik (wystawca uwierzytelnienia)</strong> -
+ jest swojego rodzaju pośrednik, żądający od klienta danych
+ uwierzytelniających i weryfikujący je z serwerem uwierzytelnienia.
+ Po weryfikacji wysyła on odpowiedź do klienta. Innym urządzeniem,
+ które może działać jako wystawca uwierzytelnienia jest punkt
+ dostępowy.</li>
+ <li><strong>Serwer uwierzytelniania</strong> - oprogramownie
+ sprawdzające tożsamość klienta, powiadamia ono przełącznik lub
+ punkt dostępowy czy klient może mieć dostęp do sieci.</li>
+ </ul>
+ <h2 id="2.10.3.layer2concerns">2.10.3. Zagrożenia warstwy 2</h2>
+ <p>
+ Warstwa druga jest poziomem gdzie sygnały elektryczne zaczynają
+ spotykać się z jakąś logiką. Na tym poziomie możemy już określać
+ pewne obawy co do bezpieczeństwa transmisji jak i samego połączenia.
+ Istnieje kilka ataków, które mogą zaistnieć w naszej sieci. Działania
+ te głównie skupiają się wokół przełącznika, a urządzenia Cisco
+ posiadają odpowiednie środki zapobiegawcze możliwe do skonfigurowania
+ na tych urządzenia.
+ </p>
+ <ul>
+ <li><strong>Ataki na tablice MAC</strong> - Obejmują ataki polegają na
+ zalewaniu adresami MAC. Środek zapobiegawczy:
+ <strong>Zabezpieczenia portu</strong>.</li>
+ <li><strong>Ataki na sieci VLAN</strong> - Obejmują ataki z przeskokiem
+ i podwójnym znakowaniem VLAN. Obejmują one również ataki między
+ urządzeniami we wspolnej sieci VLAN. Środek zapobiegawczy:
+ <strong>Wyłączenie protokołu DTP, zmiana natywnej sieci VLAN</strong></li>
+ <li><strong>Ataki na DHCP</strong> - Obejmują ataki polegające na
+ blokowaniu i fałszowaniu DHCP. Środek zapobiegawczy:
+ <strong>DHCP Snooping</strong>.</li>
+ <li><strong>Ataki na ARP</strong> - Obejmują <em>spoofing</em> ARP
+ oraz ataki zatucia ARP. Środek zapobiegawczy:
+ <strong>Dynamiczna inspekcja ARP (DAI)</strong>.</li>
+ <li><strong>Ataki z podszywaniem się.</strong> - Obejmują ataki
+ polegające na sfałszowaniu adresów MAC i IP. Środek zapobiegawczy:
+ <strong>IP Source Guard (IPSG)</strong>.</li>
+ <li><strong>Ataki na STP</strong> - Obejmują ataki manipulacji
+ protokołem <em>Spanning Tree</em>. Środek zapobiegawczy:
+ <strong>Włączenie funkcji PortFast oraz BPDU Guard.</strong>.</li>
+ </ul>
+ <p>
+ Oczywiście nasze starania mogą nie być wystarczające szczególnie wtedy
+ gdy protokoły nie będą wystarczająco zabezpieczone. Zaleca się
+ porzucenia protokołów nie posiadających żadnych sensownych
+ zabezpieczeń, na rzecz bezpieczniejszych wersji, korzystających z
+ warstwy TLS czy wykorzystanie protokołów pochodnych od SSH. Innym
+ czynnikiem może być wydzielenie odrębnej sieci VLAN dla zarządzania
+ urządzeniami.
+ </p>
+ <h2 id="2.10.4.lanattacks">2.10.4. Ataki na sieć LAN</h2>
+ <p>
+ Pierwszym bardzo prostym atakiem do przeprowadzenia jest atak na
+ tablicę MAC przełącznika. Polega on na zalewaniu przełącznika ramkami
+ ze źródłowym losowym adresem MAC, przez co tablica MAC będzie cały
+ czas się wypełniać. W momencie jej przepełnienia przełącznik zaczyna
+ się zachowywać jak koncentrator. Takie działanie pozwoli atakującemu
+ przechwycić ruch sieciowy, który nie jest zaadresowany do niego.
+ </p>
+ <p>
+ Metodami zapobiegawczymi takiego działania jest skonfigurowanie
+ zabezpieczeń portów (zajmiemy się tym w następnym rozdziale), pozwoli
+ to ogranicznie nauki adresów na tych portach do podanej konkretnej
+ wartości. Choćby jednego adresu.
+ </p>
+ <p>
+ Podatność na ataki względem VLAN-ów jest niedopatrzeniem z strony
+ administratora. Pozostawienie włączonego protokołu DTP, może pozwolić
+ intruzowi na wymuszenie pomiędzy jego urządzeniami, a przełącznikiem
+ portu <em>trunk</em>. Jeśli administrator zapomiał o wyłączeniu DTP to
+ na łączach magistralnych dopuszcza ruch za pewne dla całego zakresu
+ sieci VLAN. Zatem nic nie stoi na przeszkodzie, aby atakujący mógł
+ skomunikować z dowolnym hostem w sieci, mimo skonfigurowania sieci
+ VLAN. Tego typu nazywany jest <strong>atak z przeskokiem VLAN</strong>.
+ </p>
+ <p>
+ Innym atakiem na sieci VLAN, jest
+ <strong>atak podwójnego tagowania</strong>, atakujący znając
+ identyfikator natywnego VLAN-u, może skomunikować się z dowolnym hostem
+ w dowolnym VLAN-ie. Jego zadaniem będzie przygotowanie ramki
+ zawierającej pole 802.1Q z identyfikatorem natywnego VLAN-u, jak i
+ drugie pole 802.1Q zawierające identyfikator docelowej sieci VLAN.
+ Domyślnie natywną siecią VLAN, jest VLAN 1. Natomiast <em>id</em>
+ konkretnej sieci VLAN, jest zapisany w adresie IP hosta.
+ </p>
+ <p>
+ Ochrona przed tego typu czynnościami, wymaga od nas wykonania czynności,
+ które wykonywaliśmy przy okazji konfiguracji łączy <em>trunk</em>
+ oraz protokołu DTP. Należy ten protokoł bezwzględnie wyłączyć, na
+ łączach magistralnych oraz zmienić natywny VLAN z 1 na jakiś inny
+ losowy. Warto również na sztywno przypisać portom działanie w trybie
+ dostępu.
+ </p>
+ <p>
+ Kolejne ataki, które są omawiane to ataki przeciwko DHCP. Pierwszym
+ z nich jest <strong>atak zagłodzenia</strong> - swojego rodzaju
+ atak typu DoS (pojedynczy atak DDoS), ponieważ uniemożliwia on
+ prawowitym hostom uzyskanie adresu IP z serwera DHCP. Atakujący
+ wyczerpuje całą pulę po przez wielkrotną komunikację z serwerem DHCP,
+ przy użyciu komunikatów o losowych adresach źródłowych. Cała pula
+ zostaje wyczerpana przez losowe adresy, które nawet nie wyślą jednej
+ ramki.
+ </p>
+ <p>
+ Innym atakiem jest <strong>atak sfaszowanego DHCP</strong>. Intruz
+ może na swoim komputerze uruchomić serwer DHCP i skonfigurować go
+ taki sposób, aby nasz ruch był odpowiednio kierowany. Takiego rodzaju
+ działanie ma za zadanie przechwycić nasz ruch. Atakujący może
+ udostępnić nam, przez swój komputer połącznie z inną siecią, taką jak
+ Internet, przez co może do woli przeglądać nasz nieszyfrowany ruch.
+ </p>
+ <p>
+ Metodą zapobiegawczą dla tego rodzaju zagrożenia, jest uruchomienie
+ na portach mechnizmu <strong>DHCP Snooping</strong>, pozwala on na
+ wybranie portu z którego mogą przychodzić odpowiedzi z serwera DHCP
+ oraz nałożenie limitów na ilość zapytań. Komunikatów DHCP DISCOVER.
+ Ciekawym faktem jest to, że uruchomienie tej funkcjonalności pozwala
+ na zamienić przełącznik, działający w warstwie 2 w nieco bardziej
+ inteligente urządzenie, które musi spojrzeć aż do pola danych w
+ przesyłanych ramkach.
+ </p>
+ <p>
+ Ataki ARP takie jak <strong>zatrucie</strong> czy
+ <strong>fałszowanie</strong> są do siebie bardzo zbliżone w metodach
+ do ich przeprowadzania. Można by nawet rzec, że identyczne. Protokołu
+ ARP używa się w celu uzyskania adresu MAC na podstawie adresu IP.
+ Zadaniem atakującego jest albo wysyłanie fałszywych odpowiedzi na
+ zapytanie ARP, przez co najczęściej host straci połączenie z innymi
+ w sieci. Przy czym tutaj warto powiedzić, że te wysyłanie odpowiedzi
+ musi być ciągłe. Inaczej po zaprzestaniu wysyłania tych odpowiedzi,
+ komunikacja po kilku minutach wrócić do normy. Tego typu działanie
+ jest właśnie, zatruciem ARP. Fałszowowanie ma na celu najczęściej
+ zmianę trasy ruchu sieciowego, więc tutaj używa się komunikatu
+ <strong>gratisowego</strong> ARP, który jest częścią standardu
+ ARP. Jego wykorzystanie różni się tym, że przy normalnej komunikacji
+ host ofiary nie zapyta o adres jeśli ma go w swojej tablicy ARP, ale
+ w przypadku pakietu gratisowego, host ofiary musi aktualizować wpis,
+ którego on dotyczy.
+ </p>
+ <p>
+ Przed atakami na ARP, jest się ciężko obronić. Ponieważ te funkcję,
+ które uważamy za słabe, są jego częścia. Nie mniej jednak Cisco
+ posiada metodę zwaną <strong>DAI - Dynamiczną inspekcją ARP</strong>.
+ DAI do swojego działania wymaga DHCP Snoopingu. Podobnie tak jak
+ w przypadku DHCP wybieramy zaufany, który nie będzie sprawdzany.
+ Następnie możemy ustawić inspekcję ARP dla konkretnego VLAN lub całego
+ przełącznika, możemy wybrać dodatkowo sprawdzany kryterium czy
+ sprawdzany ma być adres MAC źródłowy czy docelowy.
+ </p>
+ <p>
+ Atak fałszowania adresów, może pozwolić atakującemu na przejście przez
+ zaporę sieciową. Atak ten polega na wygenrowaniu zarówno ramek i jak
+ i pakietów IP ze sfałszowanymi informacjami. Dodatkowo pamiętając
+ jak działają przełączniki, to możebyć wielce prawdopodbne, otrzymamy
+ odpowiedź na sfałszowany adres, gdyż przełącznik zapisze w tablicy MAC,
+ że ten komputer jest podłączony do takiego portu.
+ </p>
+ <p>
+ Przed <em>spoofingiem</em> może ochronić nas mechanizm
+ <strong>IPSG - IP Source Guard</strong>.
+ </p>
+ <p>
+ Ostatnim omawianym atakiem jest atak na STP. Intruz może chcieć
+ manipulować protokołem w celu wymuszenia zmiany mostu głównego, aby
+ moc przechwytywać ruch z sieci. Dokonuje on tego po przez wysłanie
+ komunikatu BPDU, zawierającego BID o bardzo niskim piorytecie. Wówczas
+ trasy zostaną ponownie przeliczone, a atakujący uzyska dostęp do naszej
+ transmisji.
+ </p>
+ <p>
+ Sposobem na zapobiegnięcie takiemu obiegowi sprawy, należy na
+ na portach dostępowych uruchomić mechanizmy takie jak
+ <strong>PortFast</strong> czy <strong>BPDU Guard</strong>. Reagują one
+ na pojawieni się na porcie komunikatu BPDU. Najczęściej port jest
+ blokowany w stan <em>err-disabled</em>, po tym jak kolwiek komunikacja
+ zostanie zaprzestana z hostem podłączonym do niego.
+ </p>
+ <h2 id="ch10summary">Podsumowanie</h2>
+ <p>
+ W tym rozdziale zapoznaliśmy się koncepcjami bezpieczeństwa wartswy
+ drugiej. Dowiedzieliśmy się jak są rodzaje ataków i środki zaradcze.
+ Na koniec szerzej omówiliśmy każdy z rodzajów ataków, aby mieć ich
+ obraz podczas konfiguracji.
</p>
</div>
</body>
projects / mmdev.git / commitdiff